Устранение проблем с получением и обновлением сертификатов от Let's Encrypt

Описание проблемыОписание проблемы

• При попытке выпуска нового или обновления существующего сертификата от Let's Encrypt в интерфейсе Certificate Manager не проходит процедура проверки прав на домен.

• При попытке выпуска нового или обновления существующего сертфиката от Let's Encrypt в интерфейсе Certificate Manager сертификат переходит в один из статусов:

  • INVALID
  • RENEWAL_FAILED

• Сертификат от нескольких часов находится в статусе VALIDATING.

• Автоматическое обновление срока действия уже существующих сертификатов в Certificate Manager не производится.

РешениеРешение

Проверка прав на домен при выпуске нового сертификата может выполняться в течение суток с момента создания сертификата. Периодически сервис проверяет наличие нужных DNS-записей с типом cname или txt либо наличие файлов с определенным именем и содержимым на веб-сервере вашего домена.

Если повторные проверки не завершатся успешно в течение одной недели, сертификат перейдет в статус INVALID при получении нового сертификата или в статус RENEWAL_FAILED при обновлении существующего сертификата.

В этом случае понадобится создать новый запрос на сертификат.

Проверка DNS-записейПроверка DNS-записей

Для успешной валидации важно, чтобы DNS-записи были доступны публично. Проверять их наличие и корректность рекомендуется с помощью сторонних DNS-серверов, например 1.1.1.1 или 8.8.8.8, используя утилиту dig.

Проверьте наличие записей для домена _acme-challenge.<ваш_домен>:

• Для записи типа CNAME:

  dig cname _acme-challenge.<ваш_домен> @1.1.1.1
  

  В ответе должна присутствовать строка, указывающая на сервис Certificate Manager, например:
  _acme-challenge.<ваш_домен>. 164 IN CNAME fpq****************.cm.yandexcloud.net.

• Для записи типа TXT:

  dig txt _acme-challenge.<ваш-домен> @8.8.8.8
  

  В ответе в секции ANSWER SECTION должна быть указана строка в кавычках, например:
  _acme-challenge.<ваш_домен>. 433 IN TXT "**********"